Attualmente sto creando firme di codice per il mio pacchetto open source usando openssl.
Il modo in cui lo faccio è:
-
Genera coppia di chiavi pubbliche private RSA (ad es. openssl genrsa)
-
Durante il packaging, creo una firma generando un digest sha-512 per il pacchetto e crittografando il digest utilizzando la chiave privata (ad esempio openssl dgst -sign)
-
Fornisco la mia chiave pubblica alla persona che sta scaricando il pacchetto, e verificano il pacchetto usando la mia chiave pubblica e la firma (es. openssl dgst -verify)
Sto pensando di utilizzare un server HSM per archiviare la mia chiave privata per una maggiore sicurezza, ma voglio mantenere il flusso di lavoro della verifica lo stesso per i miei utenti.
Ad esempio, voglio che i miei utenti siano in grado di verificare la firma usando openssl senza dover accedere al dispositivo HSM.
Questo flusso di lavoro sarebbe possibile con i dispositivi di tipo HSM (ad es. CloudHSM di AWS)?
Grazie per il tuo aiuto.